Ouverture des services DoT/DoH

Publié le 19 avril 2023

Nos services DoT (DNS over TLS) et DoH (DNS over HTTPS) sont désormais officiellement ouverts !

Utilisation

L’une des grosses différences avec l’utilisation des résolveurs DNS « classiques » tels que ceux de FDN 80.67.169.12/2001:910:800::12 et 80.67.169.40/2001:910:800::40 sur le port 53 est que DoT et DoH chiffrent vos requêtes DNS jusqu’à FDN. C’est-à-dire que personne entre vous et FDN ne pourra voir ni altérer votre trafic DNS, qui indique par exemple quel site web vous visitez.

Nous ne conservons aucun log de vos requêtes DNS, ce ne sont toujours pas des résolveurs DNS menteurs, nous faisons de la validation DNSSEC pour les zones l’ayant déployée afin de garantir l’authenticité des réponses fournies. Un cache local des requêtes DNS est actif afin d’accélérer le temps de réponse.

• DoT est utilisable sur le port TCP/853
• DoH est utilisable sur https://ns0.fdn.fr/dns-query ou https://ns1.fdn.fr/dns-query

Pour des tutoriels DNS, vous pouvez vous référer à ceux d’ARN (une des associations membres de la Fédération FDN) expliquant comment effectuer la configuration sur certains systèmes d’exploitation (bureau/mobile et routeur).

Voir aussi Le résolveur DNS sécurisé de FDN sur le blog de Stéphane Bortzmeyer 🙂

Limitations

Les serveurs refuseront de répondre en cas de requêtes trop nombreuses afin que les serveurs ne soient pas utilisés de façon abusive ou mal intentionnée.

Sous le capot, uniquement des logiciels libres

• Debian pour le système d’exploitation ;
• DNSDist en frontal qui reçoit vos requêtes DNS avant de les transmettre à Unbound ;
• Unbound en arrière-plan qui va traiter vos requêtes DNS ;
• Let’s Encrypt pour l’autorité de certification afin d’utiliser des certificats TLS (TLSv1.2 minimum) ;
• L’outil acme.sh pour la gestion des certificats TLS ECC (cryptographie moderne sur courbes elliptiques améliorant également les performances).